與IE6相比，IE 7從外觀上看最大的改變就是采用了多頁面形式，用戶可以通過標簽轉換不同的瀏覽頁面，再也不用開啟多個IE窗口了。但是微軟對IE7宣傳最多的還是其安全性的 增強。作為XP中IE6瀏覽器的升級版本以及Windows Vista中的內置瀏覽器，IE7提供了一系列安全機制確保用戶上網瀏覽的安全。下面我們就來逐一介紹IE7中主要的安全功能。

控制Active X
在以往的IE用戶中抱怨最多的，同時也是很多人放棄IE選擇Firefox或其它瀏覽器的一個主要原因，就是由Active X控件帶來的安全隱患。Active X可以讓Web開發人員創作出純 HTML代碼無法實現的網頁功能。然而，由于Active X控件是一種可執行文件，并且可以被瀏覽器自動下載并執行，因此一些網絡攻擊者經常會編寫一些惡意Active X控件，對用戶 的電腦進行控制，與其它電腦進行連接，并在用戶不知情的情況下將用戶的重要數據傳送到其它電腦上。

微軟對Active X控件的安全性也相當關注，在眾多安全專家的研究下，IE7對于Active X控件的控制機制有了重大改變。在IE7中，一個被稱為Active X opt-in的新功能可以在默認 狀況下禁止任何Active X控件自動安裝到用戶的電腦中。如果用戶訪問了一個帶有Active X控件的網站，在瀏覽器上方會出現一個信息條，告訴用戶該網站試圖安裝并運行一個 Active X控件（包括控件名稱以及發布公司的名稱）。用戶可以自行選擇是否安裝并運行這個控件。

安全機制的關鍵在于，如何在保護能力和用戶便利性之間做到平衡。在Windows Vista中，為了安全而默認開啟了UAC（用戶帳戶控制），而很多用戶都抱怨無處不在的UAC對話框令 他們的工作變得很繁瑣。為了在增強安全性的同時不影響用戶的操作便利性，微軟在Active X opt-in功能中加入了一個經過預先核準的控件名單，當瀏覽器遇到網頁中的這些控件 時，就不會再讓用戶進行選擇是否安裝或運行該Active X控件了。列表中的控件均為常用的安全控件，用戶不需要事先進行確認。

另外，用戶可以基于不同的網絡區域對Active X opt-in功能進行開啟或關閉。默認情況下，Active X opt-in在Internet區域和受限站點區域都是開啟的，而在intranet區域和可 信站點區域則是關閉的。這些設置可以在Internet Options | Security下進行修改。用戶可以在這里選擇需要修改的區域，然后點擊Custom Level按鈕，在彈出窗口中進行適當的 設置（如圖A所示）。

 

圖A:用戶可以為不同的網絡區域定制Active X opt-in的詳細參 數

Active X控件的開發人員可以通過使用站點鎖（限定控件只針對特定的網站域名）功能和網絡區域鎖（限定控件只在IE位于某一特定區域—如intranet區域—才運行）功能讓自己 的控件變得更加安全。同時還應該為自己的控件設置數字簽名。

拒絕網絡釣魚
為了應對日益嚴重的網絡釣魚（phishing）問題，微軟在IE7中加入了Microsoft Phishing Filter（微軟網絡釣魚過濾器）。該功能會自動將用戶訪問的網站與一個已知的網絡釣 魚網站列表比較，如果用戶訪問的網站與該列表上列出的某個網站域名一致，則會對用戶發出警告。如果用戶不希望自動對全部網站進行網絡釣魚檢查，可以選擇只對那些用戶感 到懷疑的網站進行檢查。要實現這種功能，用戶可以點擊Tools " Phishing Filter | Check This Web Site來實現。

如果用戶感覺一個網站肯定是網絡釣魚網站，但是IE7中的過濾名單中又沒有該網站域名，在這種情況下，用戶可以將該網站匯報給微軟，微軟會對用戶的報告進行研究，如果確認 是釣魚網站，便將其加入網絡釣魚網站的數據庫中。Phishing Filter采用啟發式工作方式，可以自動判斷一個網站是否具備網絡釣魚網站的特征，如果具備，則將其標記為可疑站 點。

用戶可以關閉Phishing Filter或者開啟或關閉自動檢查功能。這些設置都位于Internet選項中的高級設置（Advanced Settings）選項卡中，如圖B所示。

 

圖B:用戶可以在Internet選項中的Advanced Settings選項卡中 配置Phishing Filter

跨域安全性
跨域腳本（Cross-domain scripting）是攻擊者常用的一種策略，可以導致在一個安全網站開啟的瀏覽器窗口被重新定向到另一個不同的安全網站。IE7可以確保瀏覽器即使被重新 定向，其中的腳本以及其他Web對象也能保持同樣的安全性。默認情況下，IE7的配置是禁止所有區域的跨域數據交換。當網站使用跨域腳本并有可能存在風險時，IE7會阻止腳本 URL以及DOM對象中的重定向導航。這意味著網頁中的腳本將無法與其它網站中的數據進行交互任務。

Vista中的IE保護模式
在Windows Vista中，IE7與用戶帳戶控制（UAC）功能協同工作，使瀏覽器處于默認的保護模式下。在這種模式下，瀏覽器僅具備訪問網頁的最低權限，瀏覽器中的插件和附加功能 也都是以最低權限模式運行。

保護模式可以幫助瀏覽器阻止網站在用戶不知情的情況下，在用戶的電腦中安裝惡意代碼。在這種模式下，瀏覽器只能在系統的Temporary Internet Files（TIF）文件夾中寫入數 據，而禁止在其它任何位置寫入數據，除非用戶手動許可。

如果確實需要在Temporary Internet Files以外的文件夾中寫入數據，IE7會開啟一個“代理進程”實現更安全的提升權限的方法。這個代理進程是被特殊設計的，因此在用戶不輸 入的情況下，是不會被執行的。

鎖定安全區域
IE7中的安全區域擁有了更多的限制。如果計算機不屬于某個Windows域，則intranet區域默認情況下是被禁用的。與Internet區域相比，intranet區域所受到的限制一般來說要少 一些。大多數家庭用戶和小型企業用戶都是工作在基于點到點的網絡上，他們并不訪問intranet，因此也不需要intranet區域。另外，默認設置下，受信區域的站點也具有了更高 的安全性，同時，用戶不再能通過滑動滑塊的方式將受信區域的安全等級降低到Low 或者Medium Low等級，而必須通過詳細設置將其安全等級降低到Medium級別以下。

更好的SSL/TLS通知
在IE7中，用戶可以更清楚地知道他們的網絡事務（如網絡銀行或通過信用卡進行網絡購物的支付）是通過安全套接層（SSL）或傳輸層安全（TLS）協議來提供安全保障的。這些協 議都是網站用來進行身份驗證以及實現加密數據傳輸的。

當用戶訪問HTTPS網站時，IE7的地址欄右側會出現一個鎖形圖標。用戶可以點擊這個圖標察看用來實現加密連接的數字認證以及相關的各種信息，如圖C所示。在以前版本的IE中， 這個圖標位于窗口下端，而且圖標較小，很容易被用戶忽略。

 

圖C:更突出的SSL/TLS圖標可以讓用戶更方便的了解網站是否安全

#p#副標題#e#

額外的安全增強
除了上面提到的主要的安全特性，IE7中還進行了不少小的安全改進，可以讓用戶的網絡瀏覽更加安全。其中主要包括：

 

IE 7 在瀏覽器地址欄通過色彩方式來顯示站點的安全等級。如果網站經過了安全性認證，具有較高的安全性，那么地址欄就會變成綠色。

 

新增了三個被稱作Feature Control的注冊表鍵，他們可以確保HTML(intranet和Internet) 不會獲取用戶的個人信息。在默認情況下，IE 7選定了該功能。當瀏覽器在同一個 網站，或者跨網站瀏覽時，將不能訪問緩存對象。

 

在IE7中，用戶可以更方便的刪除瀏覽器歷史紀錄，緩存頁面，網頁對象（臨時文件夾中）,IE紀錄的用戶密碼，網站cookies，以及網頁表單中的數據，從而更好的保護用戶的 隱私（尤其是在公用電腦上上網時）。所有這些內容都可以在一個簡單的窗口中進行刪除。如圖D所示。

 

圖D:只需點擊一下，就可以將上網紀錄全部刪除,從而保護用戶 隱私

 

以前，經常有不帶地址欄的彈出窗口，這經常讓用戶對該網站的安全性產生懷疑。在IE 7中，所有的窗口都帶有地址欄，因此用戶可以方便的察看當前頁面的地址。

 

瀏覽器插件或擴展工具經常在系統中開啟后門，帶來安全威脅。如果用戶對此感到恐懼，可以采用IE7的“無插件”模式。這種模式也可以用于解決惡意網頁帶來的頁面無法打 開等情況。 在以前，如果由于瀏覽器插件和擴展工具導致了IE瀏覽器崩潰，而用戶又沒有安裝其他替代的瀏覽器，那么將無法正常上網下載相應的工具來修復瀏覽器問題。

 

有些聰明的網絡攻擊者在URL地址中采用類似英語字母的其它語種字母，從而讓粗心的用戶將惡意網站當作合法網站。在IE7中，這種域名哄騙的小聰明將不再有用武之地，因 為IE7會告訴用戶網頁地址中存在不同語言的字母。

術語表

ActiveX: 是由微軟開發的一種技術。它是Object Linking and Embedding (OLE) 以及Component Object Model(COM)的副產物，可以讓Web開發人員開發出交互式的網頁，并 提供類似于Java applets的各種功能。

 

User Account Control (UAC): 是Windows Vista中應用的一種安全技術，通過采用非管理模式運行各個任務，降低系統受黑客攻擊的風險。就算以管理員身份登陸也可以實現 相應效果，除非運行某一任務必需要管理員權限。用戶必須額外輸入具有管理權限的賬戶才能將必須在管理權限下運行的程序提升到管理權限。

 

Phishing:這是一種基于廣大電腦用戶習慣的社會學欺詐方式。一般用戶都會通過郵件中的鏈接直接訪問各種網站，如銀行網站、租賃公司網站、信用卡公司的網站、電子商務 網站、政府機構網站，或其它需要用戶輸入驗證信息（如賬戶和密碼、社保號等）的網站。騙子則會通過模仿正規網站的方式建立一個假網站，用戶通過郵件鏈接到假網站，即被 騙取了個人信息。

 

Scripting:采用簡單的編程語言（腳本語言）在網頁中實現某種功能

 

Security zones:IE中所采用的一種技術，通過地理位置或者用戶對其的信任度來區分不同安全等級的網站。比如，如果用戶對某一網站不信任，則可以將其歸類為受限區域（ Restricted zone）;如果用戶認為某一網站是安全的，可以將其添加到可信區域(Trusted zone)。默認情況下，位于互聯網上的網站安全性要低于企業內網中的網站。

 

SSL/TLS:Transport Layer Security (TLS) 是Secure Sockets Layer (SSL)的后繼。SSL最初由網景公司開發，用于互聯網上電子商務數據傳輸的安全保密。他采用公鑰 (非 對稱)加密和數字認證方式來確保與Web服務器進行商務操作的用戶具有正確的身份，并對用戶身份進行驗證以及對稱加密和傳輸。算法包括DES/3DES或AES等